IAM 教學課程:將存取權授予帳單主控台 - AWS Identity and Access Management
先決條件步驟 1:在您的測試 AWS 帳戶啟用帳單資訊的 IAM 存取權步驟 2:建立測試使用者和群組步驟 3:建立角色以授予 AWS Billing 主控台存取權步驟 4:測試主控台存取權總結相關資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 教學課程:將存取權授予帳單主控台

AWS 帳戶 擁有者 (AWS 帳戶根使用者) 可授予 IAM 使用者和角色對其 AWS 帳戶 之 AWS Billing and Cost Management 資料的存取權。本教學課程中的說明可協助您設定已預先測試的案例。此案例可協助您獲得設定帳單許可的實作經驗,不需擔心影響您的主要 AWS 生產帳戶。

先決條件

在執行本教學課程中的步驟之前,請進行以下準備工作:

  • 建立測試 AWS 帳戶。

  • 以根使用者身分登入測試 AWS 帳戶 。

  • 記錄測試帳戶的 AWS 帳戶 編號,以便您可以在教學課程中使用它。在本教學課程中,我們使用的是範例帳戶號碼 111122223333。每當有步驟使用該帳號時,請將其替換為您的測試帳戶號碼。

步驟 1:在您的測試 AWS 帳戶啟用帳單資訊的 IAM 存取權

在此情況下,您以根使用者身分登入測試 AWS 帳戶,以授予帳單資訊的 IAM 存取權。當您授予帳單資訊的 IAM 存取權時,其允許 IAM 使用者和角色存取 AWS Billing and Cost Management 主控台。這項設定並不會授予 IAM 使用者和角色這些主控台頁面的必要許可,而是會讓擁有必要 IAM 政策的 IAM 使用者或角色有權存取。如果政策已附加至 IAM 使用者或角色,但未啟用此設定,則這些政策授予的許可不會生效。

注意

使用 AWS Organizations 建立的 AWS 帳戶,預設為啟用帳單資訊的 IAM 存取權。

步驟 2:建立測試使用者和群組

在此案例中,您將授予 IAM 使用者帳單主控台的存取權,並建立兩個使用者:

  • Pat Candella

    Pat 是財務部門的成員,負責計費和付款。Pat 需要完全存取您 AWS 帳戶 中的帳單資訊。

  • Terry Whitlock

    Terry 是您的 IT 支援部門成員。在大多數情況下,Terry 不需要存取帳單主控台,但有時需要存取權,以回答財務部門員工的問題。

步驟 3:建立角色以授予 AWS Billing 主控台存取權

IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,所以也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期登入資料,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。您可以使用角色來提供通常無權存取您的 AWS 資源的使用者、應用程式或服務存取許可。在此案例中,您將建立 Terry Whitlock 可以擔任以存取帳單主控台的角色。

步驟 4:測試主控台存取權

完成核心任務之後,便可開始測試政策。測試的用意是為確保政策以您想要的運作方式執行。您可以藉由測試每個使用者的存取權來比較使用者體驗。

先決條件

在執行本教學課程中的步驟之前,請進行以下準備工作:

  • 建立測試 AWS 帳戶。

  • 以根使用者身分登入測試 AWS 帳戶 。

  • 記錄測試帳戶的 AWS 帳戶 編號,以便您可以在教學課程中使用它。在本教學課程中,我們使用的是範例帳戶號碼 111122223333。每當有步驟使用該帳號時,請將其替換為您的測試帳戶號碼。

步驟 1:在您的測試 AWS 帳戶啟用帳單資訊的 IAM 存取權

在此情況下,您以根使用者身分登入測試 AWS 帳戶,以授予帳單資訊的 IAM 存取權。當您授予帳單資訊的存取權時,其允許 IAM 使用者和角色存取 AWS Billing and Cost Management 主控台。這項設定並不會授予 IAM 使用者和角色這些主控台頁面的必要許可,而是僅會讓擁有必要 IAM 政策的 IAM 使用者或角色有權存取。

注意

使用 AWS Organizations 建立的 AWS 帳戶,預設為啟用帳單資訊的 IAM 存取權。

若要啟用 IAM 使用者和角色對 Billing and Cost Management 主控台的存取

  1. 使用根使用者憑證 (您用來建立 AWS 帳戶的電子郵件地址和密碼) 登入 AWS Management Console。

  2. 在導覽列上選取您的帳戶名稱,然後選取帳戶

  3. 向下捲動頁面,直至找到帳單資訊的 IAM 使用者和角色存取權部分,然後選取編輯

  4. 選取 Activate IAM Access (啟用 IAM 存取) 核取方塊,以啟用對 Billing and Cost Management 主控台頁面的存取。

  5. 選擇 Update (更新)

    頁面會顯示已啟用帳單資訊的 IAM 使用者/角色存取權訊息。

在本教學課程的下一步驟中,您將附加 IAM 政策,以授予或拒絕特定帳單功能的存取權。

步驟 2:建立測試使用者和群組

除了根使用者外,您的測試 AWS 帳戶沒有定義任何身分。為了提供帳單資訊的存取權,我們會建立額外的身分識別,以向其授予帳單資訊的存取權。

建立測試使用者和群組

  1. 選擇 Root user (根使用者) 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    根使用者無法登入 以 IAM 使用者身分登入 頁面。如果您看到 以 IAM 使用者身分登入 頁面,請選擇頁面底部附近的 使用根使用者電子郵件登入。如需以根使用者身分登入的協助,請參閱《AWS 登入 使用者指南》 中的 以根使用者身分登入 AWS Management Console

  2. 在導覽窗格中選取 使用者,然後選取 新增使用者

    注意

    如果您已啟用 IAM Identity Center,則 AWS Management Console 會顯示一則提醒,建議您在 IAM Identity Center 管理使用者存取權。在本教學課程中,我們建立的 IAM 使用者將學習如何提供帳單資訊的存取權。如果您已在 IAM Identity Center 建立使用者,請使用 IAM Identity Center 而非 IAM 將帳單許可集指派給這些使用者或群組。

  3. User name (使用者名稱) 中輸入 pcandella。名稱不可含有空格。

  4. 選取為使用者提供 AWS Management Console 存取權 (選用) 旁的選取方塊,然後選擇要建立 IAM 使用者

  5. 主控台密碼 下選取 自動產生的密碼

  6. 清除位於使用者必須在下次登入時建立新密碼 (建議)旁的選取方塊,然後選取下一步。由於此 IAM 使用者用於測試,因此我們將下載密碼,以供驗證程序使用。

  7. 設定許可 頁面的 許可選項 下方選取 新增使用者至群組。然後,在 使用者群組 下方選取 建立群組

  8. 建立使用者群組 頁面的 使用者群組名稱 中輸入BillingGroup。然後,在許可政策下,選取 AWS 受管任務職能政策帳單

  9. 選取 建立使用者群組 以返回 設定許可 頁面。

  10. 使用者群組下方,選取先前建立之 BillingGroup 的選取方塊。

  11. 選取 下一步 以繼續前往 檢閱和建立 頁面。

  12. 檢閱和建立頁面上,檢閱新使用者的使用者群組成員資格清單。準備好繼續時,請選取 建立使用者

  13. 擷取密碼頁面上,選取下載 .csv 檔案,以儲存含有使用者登入資訊 (連線 URL、使用者名稱和密碼) 的 .csv 檔案。

    以該 IAM 使用者身分登入 AWS 時,儲存此檔案以作為參考

  14. 選取返回使用者清單

  15. 使用下列修改內容重複此程序,以建立 Terry Whitlock 的使用者和支援使用者群組。

    1. 在步驟 3 中,針對使用者名稱,輸入 twhitlock

    2. 在步驟 8 中,針對使用者群組名稱,輸入 SupportGroup。然後,在許可政策下,選取 AWS 受管任務職能政策SupportUser

您可以在主控台清單中檢閱新的 IAM 使用者、群組和角色。針對您建立的每個項目,您可以選取名稱,以檢視其詳細資訊。檢視使用者詳細資料時,主控台會顯示在 pcandella 的許可政策下列出的帳單,以及在 twhitlock 的許可政策下列出的SupportUser

如需使用政策授予 IAM 使用者存取 AWS Billing and Cost Management 功能的詳細資訊,請參閱《AWS Billing 使用者指南》中的對 AWS Billing 使用以身分為基礎的政策 (IAM 政策)

步驟 3:建立角色以授予 AWS Billing 主控台存取權

您可以使用角色來授予 IAM 使用者帳單主控台的存取權。角色會提供使用者在需要時可以使用的臨時認證。在本教學課程中,財務部門的支援請求要求使用者 twhitlock 調查問題時,其必須能夠存取帳單資訊。

  1. 選擇 Root user (根使用者) 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    根使用者無法登入 以 IAM 使用者身分登入 頁面。如果您看到 以 IAM 使用者身分登入 頁面,請選擇頁面底部附近的 使用根使用者電子郵件登入。如需以根使用者身分登入的協助,請參閱《AWS 登入 使用者指南》 中的 以根使用者身分登入 AWS Management Console

  2. 在導覽窗格中,選取使用者,然後選取 twhitlock 使用者,以便檢視使用者詳細資訊。將 twhitlock 使用者的 ARN 複製到剪貼簿。

  3. 在導覽窗格中,選取角色,然後選取建立角色

  4. 選取可信任實體頁面上,選取自訂信任政策,然後在編輯陳述式下完成下列項目:

    • 新增 STS 的動作 – 確認已選取 AssumeRole

    • 新增主體 – 選取新增可顯示新增主體對話方塊。對於主體類型,選取 IAM 使用者,然後針對 ARN 貼上您在步驟 16 中複製到剪貼簿的 twhitlock 使用者的 ARN。然後選取新增主體。

  5. 選取下一步可前往新增許可頁面。

  6. 然後,在篩選方塊中的許可政策下,輸入 Billing,然後選取 AWS 受管任務職能政策帳單

  7. 選取下一步可前往命名、檢閱和建立頁面。在角色名稱下,輸入 TempBillingAccess,然後選取建立角色

    系統會通知您已建立角色。檢視角色,以顯示有關角色的詳細資訊。在摘要區段中,請注意下列資訊:

    • 根據預設,工作階段最長持續時間為 1 小時。在此之後,擔任該角色的使用者將恢復為其基本帳戶許可。如果使用者想繼續使用該角色許可,則必須再次切換角色。您可以編輯角色,以增加持續時間上限。最長的工作階段持續時間可能是 12 小時。

    • 在主控台中切換角色的連結。您可以複製連結,將其直接提供給在信任政策中新增為主體的使用者。您可以從信任關係索引標籤檢視和編輯信任政策。

步驟 4:測試主控台存取權

建議您以測試使用者的身分登入來測試存取權,以了解使用者可能經歷的情況。使用下列步驟,用兩個測試帳戶登入,查看不同存取權之間的差異。

以兩個測試使用者登入的方式測試帳單存取權

  1. 使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱及密碼,登入 IAM 主控台

    注意

    為方便起見,AWS 登入頁面使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。從那裡您可以輸入您的 AWS 帳戶ID 或帳戶別名,以重新引導至您帳戶的 IAM 使用者登入頁面。

  2. 使用以下提供的步驟登入每個使用者,讓您得以比較不同的使用者體驗。

    完整存取

    1. 以使用者 pcandella 身分登入 AWS 帳戶。

    2. 在導覽列上,選擇 pcandella@111122223333,然後選擇帳單儀表板

    3. 瀏覽各個頁面,然後選擇各種按鈕,以確保您有完整的修改許可。

    沒有存取權

    1. 以使用者 twhitlock 身分登入 AWS 帳戶。

    2. 在導覽列上,選擇 twhitlock@111122223333,然後選擇帳單儀表板

    3. 會顯示一則訊息,說明您需要權限。無可見帳單資料。

    切換角色以提升存取權

    1. 以使用者 twhitlock 身分登入 AWS 帳戶。

    2. 在導覽列上,選擇 twhitlock@111122223333,然後選擇切換角色

      切換角色頁面隨即開啟。依照以下方式填寫資訊:

      • 帳戶 - 111122223333

      • 角色 - TempBillingAccess

      選擇切換角色

      或者,您可以使用在主控台中切換角色的連結中提供的 URL 來開啟切換角色頁面。

    3. 主控台會顯示 AWS Billing 儀表板,而導覽列會顯示 TempBillingAccess@111122223333

總結

您現在已完成提供 IAM 使用者存取 AWS Billing 主控台之權限的必要步驟。因此,您可以第一手瞭解使用者帳單主控台體驗的情況。您現在可以隨時繼續在生產環境中實作此邏輯。

相關資源

如需 AWS Billing 使用者指南中的相關資訊,請參閱下列資源:

如需與 IAM 使用者指南中的相關資訊,請參閱下列資源: